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Verfahren zum Uberwachen eines Feldgerates 

Die Erfindung betrifft ein Verfahren zum Oberwachen eines Feldgerates gemaB 
dem Oberbegriff des Anspruchs 1 . 

In der Prozessautomatisierungstechnik werden vielfach Feldgerate eingesetzt, die 
zur Erfassung und/oder Beeinflussung von Prozessvariablen dienen. Beispiele for 
derartige Feldgerate sind FOIIstandsmessgerate, Massedurchflussmessgerate, 
Druck- und Temperaturmessgerate, pH-Redoxpotential-Messgerate, 
Leitfahigkeitsmessgerate etc., die als Sensoren die entsprechenden 
Prozessvariablen Fullstand, Durchfluss, Druck, Temperatur, pH-Wert bzw. 
Leitfahigkeitswert erfassen. 

Neben solchen Messgeraten sind auch Systeme bekannt, die neben der 
Messwerterfassung auch weitere Aufgaben erfQIIen; zu nennen sind hier 
Elektrodenreinigungssysteme, Kalibriersysteme sowie Probenehmer. 

Ebenfalls als Feldgerate werden Ein-/Ausgabeeinheiten sogenannte Remote l/Os 
bezeichnet. 

Zur Beeinflussung von Prozessvariablen dienen sogenannte Aktoren z. B. Ventile, 
die den Durchfluss einer FIQssigkeit in einem Rohrleitungsabschnitt Steuern Oder 
Pumpen, die den Fullstand in einem Behalter beeinflussen. 

Eine Vielzahl solcher Feldgerate wird von der Firma Endress + Hauser® hergestellt 
und vertrieben. 



Haufig sind Feldgerate in einer modernen Fabrikationsanlage uber ein 
Feldbussystem (Profibus®, Foundation®-Fieldbus, HART®, etc.) mit 
Qbergeordneten Einheiten z. B. Leitsystemen bzw. Steuereinheiten verbunden. 
Diese Qbergeordneten Einheiten dienen zur Prozesssteuerung, 
Prozessvisualisierung, ProzessOberwachung sowie zur Bedienung und 
Clberwachung der Feldgerate. 
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Von den Obergeordneten Einheiten sind auch Kommunikationsverbindungen zu 
weiteren Firmennetzwerken mdglich. 

Zur Bedienung der Feldgerate sind entsprechende Bedienprogramme (Bedientools) 
im Leitsystem bzw. in der Steuereinheit notwendig. Diese Bedienprogramme 
konnen eigenstandig ablaufen oder aber auch in Leitsystem-Anwendungen 
integriert sein. 



Die Sensoren iiefern Messwerte, die dem aktuellen Wert der erfassten 
Prozessvariable entsprechen. Diese Messwerte werden an eine Steuereinheit z. B. 
SPS (Speicherprogrammierbare Steuerung) weitergeleitet. 

In der Regel erfolgt die Prozesssteuerung von der Steuereinheit, wo die Messwerte 
verschiedener Feldgerate ausgewertet werden und aufgrund der Auswertung 
Steuersignale fur die entsprechenden Aktoren erzeugt werden. Neben der reinen 
Messwertubertragung kflnnen Feldgerate auch zusatzliche Informationen 
(Diagnose, Status, etc.) Obertragen. Die Parametrierung und Konfigurierung der 
Feldgerate erfolgt ebenfalls Qber das Feldbussystem. 

Das Feldbussystem bezeichnet man auch als Prozesskontrollsystem. 

Die Sicherheitsanforderungen an Prozesskontrollsysteme werden immer strenger. 
Deshalb sind in vielen Unternehmen Prozesskontrollsysteme von anderen 
Firmennetzwerken (SAP, Business) streng getrennt. Dadurch sollen unerlaubte 
Zugriffe auf Feldgerate vermeiden werden. Momentan konzentrieren sich die 
Anstrengungen im Hinblick auf Sicherheit bei Prozesskontrollsystemen auf die 
Netzwerk-Ebene. 



Zur Vermeidung von firmenfremden Eingriffen werden sogenannte Firewalls 
eingesetzt. Neben firmenfremden Eingriffen sind aber unberechtigte firmeninterne 
Eingriffe ebenso gefahrlich. Bei firmeninternen Eingriffen konnen z. B. Parameter in 
Feldgeraten geandert werden oder die gesamte Kontrollstrategie geandert werden. 
Dies kann zu unerwQnschten Anderungen im Produktionsablauf filhren. 
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Eine Kontrollstrategie kann z. B. mit dem System FieldCare® von der Firma 
Endress + Hauser erzeugt werden und in die Feldgerate geladen werden. 

Programme, die die Parametrierung, Konfigurierung und eine Veranderung der 
Kontrollstrategie ermSglichen (SCADA-Systeme oder Configuration Tools) sind 
meist mit einem Passwortschutz ausgestattet. Hierbei ist auch eine Authorisierung 
der Personen die Anderungen durchfQhren notwendig. 

Z. B. konnen bei dem Centum CS 1000 Prozesskontrollsystem von Yokogawa 
kritische Funktionsblocke, die z.B. in Feldgeraten ablaufen, nur Ober die Eingabe 
von zwei Passwortern verschiedener Personen geandert werden. 

Bei der Firma Endress + Hauser gibt es ein Sicherheitsschutz gegen unberechtigtes 
Andem von Parametern bei Feldgeraten Ober eine Verriegelung. Die Person, die 
Anderung vornehmen mdchte, muss am Feldgerat einen Code eingeben bevor 
Anderungen am Feldgerat moglich werden. 

Feldgerate, die in Prozesskontrollsystemen eingesetzt werden, weisen 
normalerweise Mikroprozessoren mit entsprechenden Peripherie Bausteinen auf. 

Deshalb kann aber nicht ausgeschlossen werden, dass Hardware bzw. Software 
oder auch deren Teile in einem Feldgerat unberechtigt ausgetauscht bzw. verandert 
werden. Ein derartiger Manipulation wOrde von einem Prozessleitsystem aus nicht 
erkannt werden. Sie bedeuten aber ein erheblichen Eingriff in den Prozessablauf 
bzw. die Kontrollstrategie. 



Insbesondere auch aus gesetzlichen bzw. vorschriftsmaBigen GrOnden ist es for 
einen Anlagebetreiber wichtig, dass ein manipulationssicheren Prozessablauf 
gewahrleistet wird. 
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Aufgabe der Erflndung ist es deshalb, ein Verfahren zum Oberwachen von 
Feldgeraten anzugeben, das ein unberechtigtes mMnipulieren von Feldgeraten 
nicht ermoglicht. 

Gel6st wird diese Aufgabe durch die in Anspruch 1 angegebenen Merkmale. 
Vorteilhafte Weiterentwicklungen der Erfindung sind in den UnteransprQchen 
angegeben. 

Wesentliche Idee der Erfindung ist es, dass eine Steuereinheit, die Ober ein Feldbus 
mit dem Feldgerat verbunden ist, in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates anfordert und diese mit einer in der Steuereinheit abgespeicherten 
Kennung vergleicht. Durch diese Abfrage wird ein Austausch der Hardware bzw. 
der Software oder deren Teile sofort bemerkt Insbesondere im Hinblick auf die 
Validierbarkeit einer Anlage ist das erfindungsgemaBe Verfahren wesentlich. 

In einfacher Weise kann es sich bei der individuellen Kennung urn die 
Seriennummer des Feldgerates handeln. 

In einer alternativen Ausgestaltung der Erfindung kann es sich bei der individuellen 
Kennung urn ein Schlussel in der Geratefirmenware des Feldgerates handeln. 

Denkbar ist auch als individuelle Kennung eine im Feldgerate abgespeicherte 
Prufsumme einer Speichereinheit zu verwenden. 

Urn eine zuverlassige Protokollierung der Anlage zu ermoglichen, wird bei jeder 
Anfrage die angeforderte Kennung in einer Datenbank mit einem entsprechenden 
Zeitstempel abgespeichert. 

Sinnvoll ist ein Abspeichern der Kennung in der Datenbank nur dann, wenn eine 
Anderung der Kennung festgestellt wurde. 

Da eine Manipulation an einem Feldgerat dem Bedienpersonal unmittelbar 
mitgeteilt werden muss, wird, falls eine Anderung der Kennung eines Feldgerates 
festgestellt wurde, eine Alarmmeldung oder eine Warnungsmeldung erzeugt. 
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Da auch betriebsbedingte Anderungen am Feldgerat vorgenommen werden 
mussen, sollen Alarmmeldungen oder Ereignisse nur erzeugt werden, wenn diese 
auBerhalb spezifizierter Wartungszeitraume liegen. Oder wenn die Wartung explizit 
erlaubt/ geplant wurde. 



Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten 
AusfUhrungsbeispiels naher eriautert. 



Es zeigen: 



Fig. 1 Netzwerk der Prozessautomatisierungstechnik in schematischer Darstellung: 

In Fig. 1 ist ein Netzwerk der Prozessautomatisierungstechnik naher dargestellt An 
e.nem Datenbus D1 sind mehrere Leitsysteme bzw. Steuereinheiten (Workstations 
WS1, WS2) die zur Prozessvisualisierung, ProzessQberwachung und zum 
Engeenering dienen, angeschlossen. Der Datenbus D1 arbeitetz. B. nach dem 
HSE (High Speed Ethernet) Standard der Foundation Fieldbus. Ober ein Gateway 
G1 , das auch als Linking Device bezeichnet wird, ist der Datenbus D1 mit einem 
Feldbussegment SM1 verbunden. Das Feldbussegment SM1 besteht aus mehreren 
Feldgeraten F1, F2, F3, F4, die Ober einen Feldbus FB miteinander verbunden sind 
Der Feldbus arbeitet z. B. nach dem Foundation® Fieldbus- Standard. 

Nachfolgend ist das erfindungsgemaBe Verfahren naher eriautert. 

Die Steuereinheit WS1 fordert in zeitlichen Abstanden eine individuelle Kennung 
des Feldgerates z. B. F1 an. Aufgrund der Anfrage sendet das Feldgerat F1 seine 
individuelle Kennung an die Steuereinheit WS1 . In der Steuereinheit WS1 wird 
diese individuelle Kennung mit einer in der Steuereinheit WS1 abgespeicherten 
individuellen Kennung verglichen. Stimmt die vom Feldgerat ubertragene Kennung 
mit der in der Steuereinheit abgespeicherten individuellen Kennung Uberein, so ist 
sichergestellt, dass keine unberechtigten Manipulationen hinsichtlich Hard- bzw. 
Software am Feldgerat vorgenommen worden sind. Dadurch ist eine yalidierung 
des Prozessablaufes moglich. 
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Als indlviduelle Kennung ist die Seriennummer des Feldgerates F1 bzw. eine 
SchlOssel in der Geratesoftware moglich. Die Steuereinheit WS1 ist mit einer 
externen Datenbank verbunden, in der jede Abfrage mit einem Zeitstempel 
protokolliert wird. Dadurch ist ein Nachweis Ober einen langeren Zeitraum moglich. 

In einer alternativen Ausgestaltung der Erfindung erfolgt das Abspeichern der 
Datenbank nur, wenn eine Anderung der Kennung von der Steuereinheit WS1 
festegestellt wurde. 

In der Regel finden Wartungsarbeiten an einer Automatisierungsanlage zu genau 
spezifizierten Wartungszeitraumen statt. Um unnotige Alarmmeldungen zu 
vermeiden, werden diese nur erzeugt, wenn sie auSerhalb spezifizierter 
Wartungszeitraume liegen. 

Die Alarmmeldung kann an der Steuereinheit WS1 angezeigt werden oder aber 
auch uber alternative Wege z. B. eMail, SMS und Fax an die zustandigen Stellen 
weitergeleitet werden. ' 

In einer sehr einfachen Ausgestaltung wird in der Steuereinheit nur Oberwacht, ob 
das betreffende Feldgerat z.B. F1 mit dem Feldbus FB verbunden ist und 
funktionsfahig ist. 

Hierfur richtet die Steuereinheit WS1 eine Anfrage an das Feldgerat F1 , die eine 
Antwort des Feldgerates F1 erfordert. Falls das Feldgerat nicht antwortet, wird der 
Ausfall in der* Datenbank abgespeichert. 
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PatentansprQche 

1. Verfahren zum Oberwachen eines Feldgerates das Ober einen Datenbus mit 
e.ner Steuereinheit verbunden ist, dadurch gekennzeichnet, dass die 
Steuereinheit in zeitlichen Abstanden eine individuelle Kennung des Feldgerates 
anfordert und diese mit einer in der Steuereinheit abgespeicherten Kennung 
vergleicht. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die individuelle 
Kennung die Serien-Nr. des Feldgerates ist. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die individuelle 
Kennung ein SchlOssel in der Gerate-Firmware des Feldgerates ist. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Kennung eine 
PrUfsumme einer Speichereinheit im Feldgerat ist. 

5. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass die angeforderte Kennung in eine Datenbank mit 
Zeitstempel abgespeichert wird. 

6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass eine Abspeicherung in der Datenbank nur erfolgt, wenn 
eine Anderung der Kennung festgestellt wurde. 

7. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass bei einer Anderung der Kennung eine Alarmmeldung oder 
eine Warnmeldung erzeugt wird. 

8. Verfahren nach einem der vorhergehenden AnsprQche, dadurch 
gekennzeichnet, dass eine Alarmmeldung oder eine Warnmeldung nur erzeugt 
wird, wenn sie auBerhalb spezifizierter Wartungszeitraume liegt. 
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9 ' !TlT 0h ' ■ r derVOrher9ehende Ans ^. gakannzeicnnat. 
dass d. Atermmaidung oderdie Warnmaldung an der Staua re inhait da.aasteil, 



10.Verfahren n a oh einem darvomangahanda AnsprOcba, dadurch gakannzaichna. 
dass dte Alam.ma.dung odardia Warnmaldung (z.a. eilfa« SMS , Fax) , n ' 
eiektronischer Form versendet wird. 

"'ITTa.'"* "T tterV ° rher9ehendeAn8prtlChe ' — * SeKannzarchna,, 
dass d,a Al al mmeldungan odarWammaldungan an dar Stauareinhait abrufbar 



12 'dTs! ri hre l naCh ^ ^ VOrhe,9ehende dadurch gakannzaichnat, 

dass d« Alarmmaldungan odarWammaldungan ubar ainan Cliant (z.a /nremat 
Explore/) abgerufen werden kSnnen. 

13. Verfahren 2 um Obaovachan ainas Faldgaratas das Oberainan Datanbus mlt 
amar Stauareinhait vamundan ist, dadumh gakannzaichnat, dass dia 
Stauarainhai. in zaitlichsn Abstandan aina Anfrega an das FaWgarS, richtst, dte 
a,na Antwort das Faldgaratas arforaart und falls kaine Antwort vom Faldgar« 
kommt, dias in ainar Datanbank mit antsprechandem ZeBstampal abspaichart 
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Zusammenfassung 

Bei einem Verfahren zum Oberwachen eines Feldgerates, das Ober ein Datenbus 
mit einer Steuereinheit verbunden ist, fordert die Steuereinheit den zeitlichen 
Abstand einer individuellen Kennung des Feldgerates an und vergleicht diese mit 
einer abgespeicherten Kennung. 



Fig- (1) 
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